Wondershare EdrawMind
Galería de mapas mentales Notas de estudio de CISSP Dominio 5 (Gestión de acceso a identidad)
Notas de estudio de CISSP Dominio 5 (Gestión de acceso a identidad)
Este es un mapa mental sobre las notas de estudio de CISSP: Dominio 5 (Gestión de acceso a identidades). El contenido principal incluye: preguntas de revisión y puntos de conocimiento.
Editado a las 2024-04-02 12:32:49,
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- 科学者-銭雪仙
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
Notas de estudio de CISSP Dominio 5 (Gestión de acceso a identidad)
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- 科学者-銭雪仙
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
- Recomendados
- Resumen
Plantilla de habilidades para responder preguntas de geografía del examen de ingreso a la universidad
Examen de ingreso a la universidad Aplicación del idioma chino Técnicas de respuesta a preguntas
![Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715977926/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]
![Discos de ruptura para instalaciones de seguridad [Resumen Normativo]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715978685/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Notas de estudio de CISSP: Dominio 5 (Gestión de acceso a identidad)
Puntos de conocimiento
5.1. Controlar el acceso físico y lógico a los activos
5.1.1.
5.1.1.1 Descripción general de la gestión de identidades y accesos
La gestión de identidades y accesos (IAM o IDAM) es la base de la seguridad de la información y se centra en identificar y autenticar entidades que solicitan acceso a recursos y garantizar un comportamiento responsable. Una entidad puede ser un usuario, sistema, aplicación o proceso.
IAM consta de cuatro elementos básicos: Identificación, Autenticación, Autorización y Auditoría (IAAAA)
5.1.1.2 Control de acceso lógico y físico
1 Control de acceso físico: incluyendo puertas, cortinas, vallas, etc., para controlar el acceso físico al edificio.
2 Control de acceso lógico: consiste en contraseñas, códigos PIN o claves simétricas compartidas, etc., utilizados para acceder al sistema.
3. Estrategia de control: Es necesario comprender los activos de la organización y las prioridades de acceso, adoptar fuertes controles de acceso físico para activos físicos valiosos y requisitos de confidencialidad, y adoptar controles lógicos para sistemas de información con estrictos requisitos de integridad de datos.
5.1.1.3 Definición de control de acceso
•Objeto:
La entidad a la que el sujeto intenta acceder, como un archivo, aplicación, instalación o base de datos. Los objetos deben cumplir con los requisitos de confidencialidad, integridad, disponibilidad, no repudio y autenticidad (CIANA).
•cuerpo principal:
Pueden ser usuarios humanos o entidades no humanas como sistemas, programas y dispositivos. Un sujeto necesita acceso a un objeto y el control de acceso define cómo se otorga, utiliza y monitorea este acceso.
•acceso:
Las operaciones que el sujeto puede realizar sobre el objeto.
5.1.1.4 Información
La información (incluidos los datos sin procesar) puede encontrarse en sistemas, dispositivos, medios de almacenamiento, aplicaciones, etc., donde puede transmitirse, almacenarse o procesarse.
Diferentes informaciones requieren diferentes tipos o niveles de protección. Las necesidades de protección deben evaluarse en función del ciclo de vida de la información y se deben tomar las medidas correspondientes.
5.1.2.
5.1.2.1 Definición de sistema
Un sistema es cualquier conjunto de hardware, software, personas, políticas, procedimientos y otros recursos comúnmente utilizados en CISSP para discutir sistemas de información electrónica.
5.1.2.2 Implementación del control de acceso al sistema CIANA
•Confidencialidad: Es necesario garantizar la seguridad de la información en el sistema para evitar accesos no autorizados. Controles de acceso físico como cajas fuertes cerradas y controles de acceso lógico como cifrado completo de disco (FDE).
•Integridad: Evitar que usuarios no autorizados modifiquen la información mediante el control de acceso.
•Disponibilidad: Por ejemplo, los gabinetes de servidores bloqueados evitan que usuarios no autorizados apaguen el sistema de manera maliciosa o accidental.
· Autenticidad: utilice la autenticación en IAM para demostrar que las creencias, los comandos u otra información en el sistema son confiables. Después de demostrar con éxito la identidad, se puede evaluar la credibilidad del sujeto o las pruebas que proporciona.
•No repudio: se basa en la capacidad del sistema IAM para identificar y autenticar de forma única a los principales, así como registros de acciones del sistema e información de identificación.
5.1.2.3 IAM centralizado
La gestión centralizada de IAM tiene una función de control de acceso dedicada (como un equipo o un departamento específico) responsable de gestionar todos los controles de acceso, proporcionando los beneficios de una supervisión y un seguimiento estrictos. La desventaja es que puede haber un único punto de falla.
5.1.2.4 IAM distribuida
La gestión descentralizada de IAM descentraliza la funcionalidad y, a menudo, asigna decisiones de control de acceso a los propietarios del sistema o de la información. Esto proporciona mayor libertad y flexibilidad, pero tiene la desventaja de una aplicación inconsistente y una falta de supervisión unificada.
5.1.3.
Algunos dispositivos pueden requerir medidas de seguridad únicas para evitar robos o daños. Estas incluyen bloqueos de pantalla, borrado remoto, separación de aplicaciones e información (contenedorización) y varias otras medidas físicas y lógicas.
El objetivo de la IAM de dispositivos es proteger los puntos finales, limitar el acceso a dispositivos no seguros y garantizar que solo los usuarios autorizados tengan acceso.
5.1.4.
5.1.4.1 Sistema de Control de Acceso Físico (PACSS)
Los sistemas de control de acceso físico incluyen instalaciones que implementan seguridad física, como puertas, cercas, torniquetes, insignias de seguridad y guardias.
Además, se incluyen los procedimientos administrativos necesarios para operar estos controles, tales como: horarios de vigilancia de guardias, requisitos de credenciales, procedimientos del muelle de carga y registro y escolta de visitantes.
Precauciones:
•Las situaciones de emergencia también deben considerarse al diseñar el PACSS, ya que la preocupación principal es la vida humana.
•Los proveedores de servicios en la nube (CSP) y los teléfonos inteligentes de propiedad personal se han convertido en nuevos activos que muchas organizaciones necesitan proteger.
•La complejidad de los controles seleccionados debe ser proporcional al valor de los activos que se protegen.
5.1.4.2 Elementos del sistema de control de acceso físico
1. Identificación de usuario y dispositivo
Las personas suelen identificarse mediante tarjetas de identificación, pegatinas o insignias, y los artículos se pueden identificar mediante etiquetas RFID, códigos de barras o códigos de respuesta rápida (QR).
2. Cercas y puertas
Las vallas impiden la entrada no deseada y dirigen a las personas a puntos de entrada controlados. La puerta ofrece la posibilidad de implementar controles adicionales, como mostrar una tarjeta de identificación o ingresar una contraseña, donde se lleva a cabo la identificación y autenticación.
3.Puerta de seguridad
Solo permita la entrada a quienes presenten las credenciales adecuadas, como el uso de una tarjeta inteligente, una aplicación de teléfono inteligente o un código PIN.
4. Cerraduras y llaves
5. Sensor de detección de intrusiones
Estos sensores son controles de detección y pueden detectar accesos no autorizados. Por ejemplo, los sensores infrarrojos, acústicos y de peso o presión pueden detectar intrusos en función de la temperatura corporal, el sonido del cristal al romperse o el movimiento del intruso.
6 puertas giratorias o portones dobles
Mientras que los torniquetes generalmente solo permiten el paso de una persona a la vez, las puertas dobles requieren que los usuarios presenten un conjunto de credenciales para ingresar a un espacio de vestíbulo seguro y luego requieren otro conjunto de credenciales para ingresar al espacio principal desde el vestíbulo.
7. Vigilancia por circuito cerrado de televisión
8. Seguridad
Los guardias son una de las formas de control de acceso físico más útiles, flexibles y costosas.
5.1.5.
1. Principio de privilegio mínimo
El acceso a las aplicaciones debe seguir el principio de privilegio mínimo, otorgando un acceso apropiado y no excesivo basado en el modelo de control de acceso basado en roles (RBAC).
2. Conozca el principio de lo que necesita (puede saber lo que necesita)
El acceso de una aplicación a datos específicos debe seguir el principio de saber lo que necesita. Por ejemplo, en la gestión de dispositivos móviles (MDM), la tecnología de contenedorización puede evitar que aplicaciones no autorizadas accedan a los datos de la organización mediante el aislamiento lógico.
3 Granularidad del permiso de acceso
Las aplicaciones suelen proporcionar múltiples niveles de acceso de usuario. La granularidad describe el nivel de acceso controlable. Las aplicaciones de alta granularidad admiten la personalización del acceso de cada usuario a objetos específicos, mientras que las aplicaciones de baja granularidad solo permiten permitir o denegar el acceso básico a la aplicación y a todos los datos que contiene. Una granularidad insuficiente puede provocar vulnerabilidades de seguridad.
5.2. Identificación y autenticación del personal de gestión, equipos y servicios
5.2.1. Implementación de la gestión de identidades (IdM)
Varias funciones clave de la gestión de identidades (IdM):
1. Crear: Establecer la identidad procesando la solicitud, apoyando el proceso de revisión y aprobación.
2. Eliminación: implemente el proceso de eliminación de usuarios para garantizar la eliminación oportuna de la identidad y los derechos de acceso.
3. Gestión de cuentas e identidades: proporcione funciones de gestión de cuentas centralizadas o descentralizadas para gestionar eficazmente las identidades de los usuarios.
4. Gestión de derechos de inversión: una vez creada la identidad, el IdM es responsable de asignar derechos de acceso iniciales a la identidad.
5. Revisión de identidad: supervisar y revisar las identidades de los usuarios y los derechos de acceso para garantizar la seguridad y el cumplimiento.
5.2.2. Autenticación de factor único y multifactor (MFA)
5.2.2.1 Factores de autenticación de identidad
1. Tres tipos principales de factores de autenticación:
•Lo que sabes (factor de conocimiento, tipo 1): Contraseñas, contraseñas o respuestas a preguntas de seguridad, etc.
•Qué tienes (factor de posesión, tipo 2): teléfono móvil, llave USB, tarjeta de acceso, etc.
•Qué eres (factores biométricos, tipo 3): huella dactilar, escaneo de iris, etc.
La autenticación de un solo factor utiliza un factor de autenticación y la autenticación de múltiples factores utiliza dos o más. El tipo 1 es el más débil y el tipo 3 es el más fuerte, pero el tipo 3 también se puede evitar fácilmente. Por lo tanto, se recomienda la autenticación multifactor.
2 nuevos tipos de factores de autenticación
Considere dónde y cómo se autentican los usuarios. Como iniciar sesión desde un dispositivo nuevo o una ubicación desconocida, lo que activa un mensaje de autenticación multifactor (MFA).
5.2.2.2 Qué sabes (Tipo 1)
Ventajas: Fácil de usar y fácil de implementar.
Desventajas: fácil de olvidar y fácilmente destruido por los atacantes.
1.NIST SP 800-63B últimas recomendaciones de políticas de contraseñas:
Priorice la usabilidad sobre la complejidad: las contraseñas complejas pueden ser difíciles de recordar, lo que permite más intentos de entrada para tener en cuenta los errores de escritura.
Aumente la longitud en lugar de la complejidad: permita contraseñas más largas (por ejemplo, 1PassedTheCISspcertifrcation) sin aumentar la complejidad (por ejemplo, iP@ss3dTh3C1sSp). La primera es más fácil de recordar para los usuarios, mientras que la segunda puede generar más bloqueos accidentales.
Menos cambios Las contraseñas son más difíciles de adivinar o descifrar, por lo que la guía actual exige que se cambien sólo si han sido comprometidas.
2. Sugerencias generales de contraseña:
•Longitud de la contraseña: no menos de 8 caracteres.
•Complejidad de la contraseña: incluye letras mayúsculas, minúsculas, números y caracteres especiales.
•Vida útil de la contraseña: cambie las contraseñas periódicamente.
•Almacenamiento de código piramidal: almacenamiento cifrado, almacenamiento sin texto.
•Recuperación de contraseña: estrategias efectivas para lidiar con el olvido y la pérdida.
•Comprobación de contraseña: compruebe si se ha utilizado antes.
•Evaluación de la seguridad de la contraseña: solicite a los usuarios que elijan contraseñas más seguras.
Las organizaciones deben desarrollar sus propias políticas de contraseñas basadas en los requisitos de cumplimiento y de la industria.
5.2.2.3 ¿Qué tienes? (Tipo 2)
Como certificados digitales, credenciales de identidad o tarjetas inteligentes, tokens de autenticación física y aplicaciones de autenticación basadas en teléfonos inteligentes. Generalmente no se usa solo, puede compartirse o tomarse prestado.
1. Certificado digital: certificado electrónico que acredita la identidad del titular y la clave pública.
2. Tarjeta numérica o tarjeta inteligente: con soporte físico que identifica la identidad del usuario. Contraseña de entrada de máquina de tarjeta inteligente o verificación de huellas dactilares
3. Token de autenticación física: un dispositivo físico que genera un código de autenticación único.
• Token de contraseña dinámica sincronizada (TOTP): sincroniza con la hora del servidor y genera contraseñas periódicamente.
•Token de contraseña dinámica asíncrona (HOTP): activa manualmente la adquisición de contraseñas dinámicas, utilizando un nonce (un número de uso único) para garantizar el uso único de la contraseña. TOTP utiliza un estándar de contraseña de un solo uso basado en el tiempo. HOTP utiliza un estándar de contraseña de un solo uso basado en el algoritmo HMAC.
4. Aplicación de autenticación basada en teléfono inteligente: aplicación móvil que genera códigos de autenticación únicos y verifica la identidad del usuario a través del teléfono inteligente.
5.2.2.4 ¿Qué eres? (Tipo 3)
Los factores biométricos se utilizan para identificar o verificar la identidad. Se utiliza como segundo o tercer factor de MFA y no suele utilizarse solo.
Métodos biométricos comunes:
•Reconocimiento de huellas dactilares: escanee su huella digital para desbloquear el dispositivo.
·Reconocimiento de retina: escanea los patrones de los vasos sanguíneos de la retina, con alta precisión, difícil de descifrar y puede filtrar información de salud (PHI) y problemas de seguridad.
•Reconocimiento de iris: escanea patrones de iris con alta precisión, lo que permite el reconocimiento a larga distancia.
•Reconocimiento facial: escanea rasgos faciales para desbloquear dispositivos y atrapar delincuentes.
•Reconocimiento de voz: Tecnología de reconocimiento de voz para identificación de identidades.
•Reconocimiento de escritura a mano: escanee rastros de escritura a mano para identificar su identidad.
•Identificación del electrocardiograma: Escanee el electrocardiograma para identificar a la persona.
5.2.2.5 Errores comunes de control de acceso
· Tasa de falsos rechazos (FRR): Errores tipo 1. Los datos biométricos válidos no se pueden verificar y se utilizan en entornos con altos requisitos de seguridad.
Falso negativo, rechazando al usuario correcto
•Tasa de Falsa Aceptación (FAR): Errores tipo 2. Los datos biométricos no válidos se identifican erróneamente como identidades válidas y se utilizan en entornos con bajos requisitos de seguridad.
Falso positivo, se permite usuario equivocado
•La tasa de error de cruce (CER) es el punto de intersección de FRR y FAR y se utiliza como valor de evaluación estándar. Al comparar la precisión de los dispositivos biométricos, los dispositivos con un CER más bajo son más precisos que los dispositivos con un CER más alto.
5.2.2.6 Autenticación multifactor (MFA)
Las contraseñas por sí solas se pueden adivinar fácilmente, los tokens por sí solos pueden perderse o ser robados, y la biometría por sí sola puede provocar falsos positivos. Se utiliza en combinación para aumentar la fuerza y la precisión.
5.2.3. Responsabilidad
La rendición de cuentas es un mecanismo que garantiza que los usuarios o programas asuman la responsabilidad de las acciones que realizan y las decisiones que toman. La rendición de cuentas efectiva requiere una identificación y documentación clara de quién (usuario o programa) realizó qué acción (comportamiento). Esto requiere proporcionar a cada usuario o programa una identificación única y verificar la autenticidad de su identidad.
5.2.4. Gestión de sesiones
La gestión de sesiones comienza con la identificación y autenticación del usuario y finaliza con la desconexión de la aplicación o sistema. Proteger los datos y los datos intercambiados durante la sesión es clave. Las sesiones también deben cumplir con los requisitos de seguridad, como limitar su duración y realizarse únicamente entre hosts específicos.
1. Para lograr una gestión segura de la sesión, tome las siguientes medidas:
•Potente mecanismo de autenticación
• Teclas de sesión de alta resistencia
•Excelentes algoritmos y mecanismos de cifrado.
•Limitar el tiempo de espera de la sesión
•Las sesiones inactivas se desconectan automáticamente
•Medidas de control para detectar actividad anormal
2. Vulnerabilidades de seguridad relacionadas con la sesión:
•Secuestro de sesión: un atacante se hace pasar por una de las partes de la comunicación con el fin de obtener o alterar información.
• Secuestro de sesión: los usuarios de la misma red secuestran sesiones mediante el rastreo de paquetes, roban información de cookies de sesión y se hacen pasar por usuarios legítimos.
•Fijación de sesiones: ataques contra aplicaciones web que reutilizan ID de sesión, donde un atacante utiliza una ID de sesión existente para engañar al navegador del usuario para que se autentique y robe credenciales.
3. Prácticas de seguridad de gestión de sesiones
•Guía de mejores prácticas de gestión de sesiones publicada por OWASP: https://shorturl.ac/owasp_session.
sugerencia:
•Utilice cadenas de ID de sesión largas y complejas para evitar información identificable obvia.
-Establezca atributos de seguridad apropiados, como el atributo Seguro, al almacenar tokens de sesión en forma de cookie para forzar el uso de HTTPS.
•Siga las mejores prácticas de desarrollo, evite incluir ID de sesión en las URL, no comparta ID de sesión y elimine rápidamente los ID de sesión innecesarios.
5.2.5. Registro, certificación e identificación.
La gestión de identidad se ocupa de verificar la información del usuario y crear cuentas o credenciales de usuario para establecer la identidad. Debe considerar la seguridad del sistema y sus datos, incluida la autenticidad, la confidencialidad y la integridad.
1.El Nivel de Garantía de Identidad (IALS) del NIST se divide en 3 niveles:
•IAL1 (identidad autocertificada)
El nivel más bajo requiere que los usuarios autocertifiquen su identidad. No es necesario asociar a un individuo con una identidad verificada de la vida real. Se aplica a sistemas donde las consecuencias del mundo real no implican responsabilidad.
•IAL2 (presentar documentos de identidad y comprobantes):
Los usuarios deben presentar documentos y certificados de identidad en persona o de forma remota para la autenticación del nombre real. A menudo se utiliza en escenarios laborales donde es necesario proporcionar al empleador documentos de identidad válidos.
•IAL3 (Prueba de presencia física y revisión formal):
El nivel más alto requiere prueba de identidad en persona con evidencia confiable (como una tarjeta de identificación emitida por el gobierno) y una revisión formal de la identidad y la documentación por parte de personal capacitado del CSP. La verificación personal aumenta la confianza.
2. El nivel de garantía requerido depende de los requisitos de seguridad del sistema y sus datos y de la sensibilidad del trabajo del usuario.
Por ejemplo: en las operaciones de una aerolínea, puede haber diferentes requisitos de identificación para diferentes empleados dependiendo de lo delicado del trabajo. Los saludadores que brindan orientación sobre la capacidad de pasajeros tienen menos impacto en la vida, la salud y la seguridad y, por lo tanto, solo requieren IAL2 y el personal de mantenimiento puede requerir un escrutinio más estricto.
3. Una vez enviada, verificada y verificada la información de identidad a un nivel apropiado, se puede establecer una identidad para el usuario.
5.2.6. Gestión de identidad federada (FIM)
La gestión federada de identidades (FIM) reduce la sobrecarga administrativa y simplifica la gestión de múltiples conjuntos de credenciales al compartir la autenticación de usuario y los derechos de acceso entre los sistemas que participan en la federación. FIM es similar al inicio de sesión único (sSO) y está diseñado para reducir los costos de creación y administración de cuentas, brindar a los usuarios un fácil acceso y brindar beneficios de seguridad. Sin embargo, los riesgos que plantea la federación también deben evaluarse cuidadosamente. Si las prácticas de seguridad de una organización en la federación son insuficientes, puede causar riesgos de seguridad para otros sistemas en toda la federación.
5.2.7. Sistema de gestión de credenciales (CMS)
Los sistemas de gestión de credenciales permiten a las organizaciones gestionar de forma centralizada los ID de usuario y las contraseñas. Dichos sistemas están disponibles como productos de software comerciales y se implementan en las instalaciones o en un entorno de nube.
La responsabilidad principal de un CMS es crear cuentas para los usuarios y distribuir credenciales a pedido entre varios sistemas y sistemas centralizados de administración de identidades, como LDAP o Microsoft Active Directory. Un sistema de gestión de credenciales puede existir como una aplicación independiente o ser un componente de un sistema IAM.
5.2.8.Inicio de sesión único (SSO)
SSO es un método de autenticación que permite a los usuarios acceder a múltiples recursos con una sola autenticación. Las tecnologías que implementan SSO incluyen Kerberos y Windows Active Directory. La combinación de SSO con la gestión de identidades federada le permite aprovechar proveedores de identidades de terceros para autenticar usuarios en recursos como varias organizaciones y sitios web.
Ventajas del SSO:
•Reduzca la carga de la gestión de contraseñas de los usuarios y reduzca el riesgo de contraseñas débiles.
•Detectar y responder rápidamente a comportamientos sospechosos.
Desventajas del SSO:
•—Nada sale mal: cuando una cuenta SSO se ve comprometida, todas las aplicaciones habilitadas para SSO se ven afectadas.
5.2.9. Gestión de identidades y accesos justo a tiempo (JIT)
El control de acceso justo a tiempo (JIT) aplica el principio de privilegio mínimo al proporcionar acceso temporal a una aplicación o recurso mientras se realiza una tarea específica.
Escenarios comunes:
•Bóveda de claves: como elemento de administración de cuentas privilegiadas, una bóveda central almacena las credenciales de cuentas compartidas y aumenta los privilegios dentro de un período de tiempo específico.
·Crear cuentas temporalmente: cree dinámicamente cuentas temporales con los permisos necesarios según sea necesario; elimínelas automáticamente inmediatamente después de su uso.
·Elevación temporal de privilegios: La cuenta recibe privilegios elevados por un período de tiempo limitado y se elimina automáticamente una vez transcurrido el tiempo.
5.3. Identidades federadas con servicios de terceros.
5.3.1. Identidad como Servicio (IDaas)
IDaas es una extensión de Federated Identity (FIM) y se utiliza para satisfacer las necesidades de colaboración de diferentes equipos, departamentos y organizaciones.
A menudo se implementan soluciones federadas como SAML y OAuth para satisfacer las necesidades de IAM en sistemas internos y externos.
Riesgos clave de IDaas de terceros:
•Punto único de falla: si IDaas falla, los sistemas relacionados quedarán inutilizables.
•Pérdida de control: El reconocimiento de identidad es la base del control de acceso y su subcontratación conlleva altos riesgos. Si se violan los datos de un proveedor de IDaaS, la información de gestión de acceso e identidad de una empresa puede verse afectada.
5.3.2 Dentro de la empresa
La principal ventaja de una solución de gestión de identidades (IdM) local es el control total sobre el hardware y el software utilizados en el sistema IAM, como el Protocolo ligero de acceso a directorios (LDAP) o Microsoft Active Directory (AD) alojado en la oficina corporativa o centro de datos).
5.3.3.Nube
1 Los servicios de identidad basados en la nube son proporcionados por un tercero de Identidad como Servicio (IDaas), que es responsable de la identificación, autorización y gestión del acceso. Comúnmente utilizado en aplicaciones Saas para proveedores de servicios en la nube utilizados por clientes dentro de una organización, como Microsoft Office 365 y la nube de Azure integrada con Active Directory.
Las soluciones 2Cloud pueden requerir un agente de seguridad de acceso a la nube (CASB) para controlar y filtrar el acceso a los servicios en la nube. CASB proporciona servicios de control de acceso, auditoría y rendición de cuentas.
3. Los servicios basados en la nube tienen alta confiabilidad y disponibilidad porque el centro de datos del proveedor de servicios en la nube tiene múltiples redundancias. Los servicios basados en la nube pueden reducir significativamente los costos en comparación con los servicios locales, reduciendo la compra y el mantenimiento de equipos y la necesidad de personal especializado.
5.3.4.Tipo mixto
Las soluciones de servicios de identidad híbridos combinan soluciones de gestión de identidad locales y basadas en la nube. Un modelo híbrido ofrece la mejor opción para que las empresas mantengan cierto grado de control mientras disfrutan de los beneficios de un enfoque basado en la nube, como la elasticidad y la rentabilidad.
Riesgos mixtos:
•Se requieren recursos suficientes para mantener una implementación dual de IAM. Si bien pasar a la nube puede reducir los requisitos de mantenimiento interno, un enfoque híbrido no elimina por completo esta necesidad.
•Un enfoque híbrido conlleva los mismos riesgos que la IAM basada en la nube porque un tercero gestiona la identidad.
•Si el IDaaS se ve comprometido, surgirá un riesgo adicional porque los recursos internos dependen de IAM interno que está sincronizado con el proveedor de IDaaS.
5.4. Implementar y gestionar mecanismos de autorización.
5.4.1 Comprender el mecanismo de autorización.
5.4.1.1 Comparación de permisos, poderes y privilegios
•permiso
A nivel técnico, los usuarios tienen derechos de acceso a recursos, como legibles, legibles y escribibles, ejecutables, etc.
•bien
Derechos realistas, por ejemplo, tiene derecho a ver los datos en la base de datos, siempre que tenga permiso de lectura.
Comparado
•privilegio
La combinación de permisos y derechos se llama privilegio.
•Derecho
Los derechos se refieren a la cantidad de privilegios otorgados a un usuario, generalmente especificados cuando se asigna una cuenta por primera vez.
5.4.1.2 Comprender el mecanismo de autorización
1Denegación implícita (mecanismo de lista blanca)
Los accesos que no estén en la lista blanca serán rechazados. Por ejemplo: los usuarios no autenticados no pueden acceder al sitio web.
2. Tabla de habilidades (centrándose en la habilidad del sujeto)
Considere el sujeto y determine los objetos a los que tiene acceso y las operaciones que puede realizar. Por ejemplo: los empleados comunes pueden acceder a archivos compartidos, pero no pueden modificarlos.
3 Lista de control de acceso (preste atención al estado de acceso del objeto)
Considere el objeto y determine los usuarios que pueden acceder al objeto y las operaciones que se pueden realizar. Por ejemplo: solo los administradores pueden acceder a los archivos privados.
4. Matriz de control de acceso (compuesta por tabla de capacidades y lista de control de acceso)
Combine tablas de capacidades y listas de control de acceso, como el control de acceso del firewall. Por ejemplo: restringir el acceso ilegal a través de firewalls.
5. Interfaz de restricción (restringir las operaciones del usuario)
Limite las acciones y vistas de los usuarios. Por ejemplo: los usuarios normales no pueden modificar el menú del sistema.
6. Control del contenido dependiente (limitado por el contenido del objeto)
Restringir usuarios según el contenido. Por ejemplo: restringir el acceso de los usuarios según las vistas de la base de datos.
7. Control dependiente del contexto (basado en acciones del sujeto o limitaciones de tiempo)
Restrinja a los usuarios según las acciones del tema o el tiempo. Por ejemplo: solo se puede acceder a los servicios de archivos durante el horario comercial
8. Sepa lo que necesitan (restringir el acceso de los sujetos solo a lo que necesitan para el trabajo)
Necesito saber
9. Mínimos privilegios (Otorgar a los sujetos sólo los permisos que necesitan para realizar su trabajo)
10. Separación de funciones (las tareas delicadas las realizan varias personas)
11. Defensa en profundidad (mecanismo de protección multicapa, incluidos controles físicos, técnicos y de gestión)
5.4.1.3 Definir requisitos utilizando políticas de seguridad
La política de seguridad de una organización determina los requisitos de control de acceso y guía la implementación. Los entornos y sistemas de información modernos a menudo implementan un modelo de control de acceso híbrido, que incluye firewalls basados en reglas, sistemas compartidos con control de acceso dinámico y departamentos de recursos humanos que determinan el control de acceso basado en roles para funciones laborales específicas y permisos asociados.
5.4.2 Control de acceso basado en reglas (RUBAC)
El control de acceso basado en reglas (RUBAC) es un método para determinar la autorización basándose en una lista predefinida de reglas. Para evitar confusiones con el control de acceso basado en roles, a menudo se abrevia como RUBAC. Al igual que una lista de invitados en un banquete, a los que están en la lista se les permite entrar y a otros se les niega la entrada.
En los sistemas de información, las listas de control de acceso (ACL) se utilizan a menudo para implementar RUBAC, como conjuntos de reglas de firewall, para determinar qué direcciones IP o puertos están permitidos o bloqueados.
Hay dos enfoques para los sistemas basados en reglas:
1. Permitido implícitamente: todo el acceso está permitido de forma predeterminada. A menos que existan reglas que prohíban específicamente el acceso. Por ejemplo, una tienda está abierta a todos los miembros del público pero rechaza a ciertos clientes que se sabe que roban.
2. Denegación implícita: solo se permite el acceso a las personas de la lista aprobada y a otras se les niega el acceso de forma predeterminada. Este enfoque, a veces denominado denegar todo o permitir con excepciones, es una práctica recomendada de seguridad básica porque reduce la posibilidad de acceso no autorizado.
5.4.3. Control de acceso basado en roles (RBAC)
El control de acceso basado en roles (RBAC) es un método para controlar el acceso a los recursos según los roles de los usuarios dentro de una organización.
Ventajas de RBAC:
•Asignar permisos según la función laboral: RBAC reduce el riesgo de que personal no autorizado acceda a información confidencial al asignar los permisos necesarios a cada función.
•Gestión de permisos a nivel de rol: los administradores pueden gestionar permisos a nivel de rol en lugar de para cada usuario, simplificando así el proceso de gestión del control de acceso y mejorando la eficiencia.
•Admite auditoría y responsabilidad: RBAC registra un seguimiento de auditoría de quién tiene acceso a qué recursos y cuándo, lo que permite la investigación de incidentes de seguridad y garantiza controles de acceso adecuados.
•Haga cumplir el principio de privilegio mínimo: siga el principio de privilegio mínimo asignando permisos a través de RBAC para garantizar que los usuarios solo obtengan los permisos que necesitan para realizar su trabajo.
NOTA: Es una convención aceptada en la comunidad de seguridad que la abreviatura RBAC se relacione únicamente con el control de acceso basado en roles.
5.4.4 Control de Acceso Obligatorio (MAC)
El control de acceso obligatorio (MAC) es un modelo de control de acceso estricto comúnmente utilizado en organizaciones militares y gubernamentales.
En modo MAC, el administrador de seguridad es responsable de asignar los derechos de acceso, no el propietario de los datos.
MAC se implementa asignando etiquetas de seguridad a principales y volúmenes. Por ejemplo, cuando un usuario tiene una etiqueta de seguridad "secreta". No se podrá acceder a los documentos marcados como "Alto secreto", pero sí a los documentos etiquetados como "Secreto" o "No confidencial".
MAC se utiliza ampliamente en modelos de confidencialidad e integridad como los modelos Bell-LaPadula, Biba y Clark-Wilson. En resumen, MAC es un método de control de acceso estricto y no discrecional adecuado para organizaciones con altas necesidades de seguridad.
5.4.5. Control de acceso discrecional (DAC)
El control de acceso discrecional (DAC) es un modelo de control de acceso en el que el sistema o propietario de los datos determina qué sujetos pueden acceder a un recurso. DAC es un control de acceso descentralizado, que es flexible pero difícil de gestionar.
Tomemos como ejemplo WeChat Moments: los editores pueden decidir si el contenido es público para otros usuarios o restringido a un grupo específico de usuarios (como amigos cercanos o familiares).
5.4.6.Control de acceso basado en atributos (ABAC)
El control de acceso basado en atributos (ABAC) combina atributos de usuarios, hosts, redes y dispositivos para tomar decisiones de acceso basadas en políticas. ABAC controla de manera flexible el acceso según el día de la semana, la hora del día, la ubicación de inicio de sesión, etc.
Los firewalls con estado son un ejemplo de un firewall que evalúa los atributos del sujeto para determinar las solicitudes de acceso. ABAC proporciona un medio de control granular basado en atributos y políticas.
5.4.7. Control de acceso basado en riesgos
Un modelo de control de acceso basado en riesgos trata los riesgos como cambios dinámicos y ajusta la autorización. A diferencia de modos como RBAC y RUBAC, utiliza parámetros como inteligencia de amenazas, registros del sistema y comportamiento del usuario para la autenticación dinámica.
Por ejemplo, cuando un departamento se ve afectado por un ataque de phishing, un sistema IAM puede aumentar temporalmente la frecuencia de los inicios de sesión de MFA para mitigar la amenaza. Las instituciones financieras también utilizan este modelo para detectar fraude en cuentas personales, ya que el perfil de riesgo cambia con el comportamiento y la actividad del usuario.
5.5. Gestión del ciclo de vida del aprovisionamiento de identidad y acceso.
5.5.1. Ciclo de vida de la gestión de acceso.
5.5.2 Revisión de acceso y uso de la cuenta
5.5.2.1 Revisión de acceso a la cuenta
•Verificar objetos: cuentas de usuario (relacionadas con individuos) y cuentas del sistema (cuentas no humanas, como copias de seguridad automáticas, llamadas API, etc.).
• Revisar el contenido: compruebe si los usuarios tienen acceso adecuado a los sistemas, datos y permisos, e investigue cuentas inactivas o inactivas, permisos excesivos y combinaciones de acceso tóxico.
•Frecuencia de revisión: determinada por la organización en función de las obligaciones legales, reglamentarias y los daños potenciales.
•Revisiones automatizadas: aproveche herramientas de seguridad como SIEM o SOAR para realizar revisiones automatizadas.
5.5.2.2 Revisión del uso de la cuenta
•Revisar el comportamiento de las cuentas de usuario y del sistema para identificar el uso innecesario o inapropiado y hacer cumplir la responsabilidad.
• Las auditorías de uso se pueden realizar como parte de una auditoría de acceso, con herramientas automatizadas como SIEM o mediante auditorías aleatorias. Esto es fundamental para mantener la seguridad e identificar eventos sospechosos, como la escalada de privilegios de un atacante.
5.5.3. Configurar y desconfigurar
•El aprovisionamiento es el proceso de otorgar acceso a sistemas, datos y recursos, mientras que la desconfiguración es la revocación de esos derechos de acceso. Generalmente relacionado con cambios de empleados (como incorporación, salida, transferencia o ascenso), se requiere coordinación con el equipo de recursos humanos o de TI para garantizar una ejecución segura.
•Las políticas de gestión de acceso deben considerar cambios en el acceso de los usuarios bajo cambios hostiles, amigables y laborales.
• La desconfiguración debe cumplir con las regulaciones de privacidad y proporcionar métodos apropiados para deshabilitar y eliminar datos del usuario, como proporcionar una entrada para cerrar sesión en la cuenta.
5.5.4. Definición de roles
Los roles son una forma de definir el acceso según el departamento, la función o las responsabilidades laborales de un usuario. Sigue principios de gestión de acceso, como privilegios mínimos, e implementa controles de seguridad, como la separación de funciones. Los roles simplifican el proceso de aprovisionamiento y desaprovisionamiento asignando usuarios a roles en lugar de autorizarlos uno por uno. La actualización continua de la membresía de roles es una parte fundamental del ciclo de aprovisionamiento y desaprovisionamiento.
5.5.5. Elevación de privilegios
La escalada de privilegios es el proceso de obtención de privilegios más altos.
1. Escalada de privilegios normal:
•La necesidad debe revisarse, registrarse e implementarse utilizando roles o grupos tanto como sea posible. Los métodos comunes incluyen permisos temporales (como el comando sudo de Linux o runas de Windows) y acceso de emergencia.
2. Ataque de elevación de privilegios:
•Ataque de escalada vertical: un atacante intenta obtener mayores privilegios, por ejemplo mediante inyección SQL.
•Ataque de escalada lateral (movimiento lateral): El atacante obtiene más permisos de cuenta del mismo nivel.
3. Medidas preventivas:
•Implementar el principio de privilegio mínimo.
·Reparar vulnerabilidades rápidamente
·Realizar análisis de vulnerabilidad
·Monitorear el tráfico y el comportamiento de la red.
·Desarrollar una política de contraseñas segura
·Capacitación en concientización sobre seguridad
5.6. Implementación de un sistema de autenticación
5.6.1 Conectividad de ID abierta (OIDC) y autorización abierta (Oauth)
5.6.1.1 Autorización abierta (OAuth)
OAuth es un protocolo abierto, cuya última versión es la 2.0, que permite un método simple y estándar para obtener autorización segura desde aplicaciones web, móviles y de escritorio. Se centra en la autorización más que en la autenticación.
Cuatro roles clave definidos por OAuth:
1) Cliente: Cualquier aplicación que realiza una solicitud de acceso a un recurso protegido.
2) Propietario del recurso: persona que posee un recurso protegido y puede otorgar permiso a otros para utilizar el recurso, generalmente un usuario final, o una aplicación o servicio. Estos permisos normalmente se otorgan a través de un cuadro de diálogo de consentimiento.
3) Servidor de autorización: cualquier servidor que emita un token de acceso al cliente después de una autenticación exitosa, el token se utiliza para obtener acceso en todo el sistema de alianza.
4) Servidor de recursos: cualquier servidor que albergue recursos protegidos y que acepte y responda a solicitudes de acceso.
5.6.1.2 Conectividad OpenID (OIDC)
OIDC agrega funciones de autenticación a la versión OAuth 2.0 y combina la administración de identidades para brindar a los usuarios una experiencia de autenticación similar a SSO.
1.ldPs y JWT
En OIDC, los usuarios pueden elegir proveedores de identidad (IdP), como WeChat, Weibo, Microsoft, Google, etc.
El proveedor de identidad (OpenlD Provider) proporciona un token de identificación al usuario final, que está codificado como JWT (Json Web Token).
2. Proceso de obtención del token
El usuario selecciona un IdP y proporciona información de autenticación a la parte que confía mediante OAuth. La información de autenticación en OIDC se pasa del proveedor de OIDC (OP) a la parte de confianza (RP) en forma de token (WT), que contiene afirmaciones sobre el usuario y autenticación de identidad para sus afirmaciones.
Resumen: Para reducir la confusión, recuerde que OAuth es un marco de autorización, OpenID es una capa de autenticación y OpenID Connect (OIDC) es un marco de autenticación que se encuentra encima de OAuth y proporciona servicios de autenticación y autorización.
5.6.2. Lenguaje de marcado de afirmación de seguridad (SAML)
Security Assertion Markup Language (SAML) es un formato de datos estándar de código abierto basado en XML que intercambia datos de autenticación y autorización entre partes, especialmente proveedores de identidad y proveedores de servicios. La última versión es SAML2.0.
1.Proceso de interacción SAML
En primer lugar, está el principal (como un navegador web), que realiza una solicitud a un proveedor de servicios (como una aplicación web), que se basa en afirmaciones de un proveedor de identidad (IdP) para la identificación, autenticación y autorización del usuario.
2 Los cuatro componentes de SAML.
1) Afirmaciones: Define cómo los atributos SAML, como los protocolos o marcos de información de autenticación y autorización, son
Uso del servicio.
2) Enlaces: especifica cómo se realiza la comunicación solicitud-respuesta entre varios participantes (como usuarios, proveedores de identidad y proveedores de servicios).
3) Protocolos: especifica cómo se empaquetan e intercambian los mensajes entre los participantes, incluido HTTP y el Protocolo simple de acceso a objetos (SOAP).
4) Perfiles: en una implementación SAML específica, los perfiles son una combinación de aserciones, enlaces y protocolos.
Comparación de SAML, OAuth2 y QOIDC
5.6.3.
Kerberos es un popular protocolo de autenticación de estándar abierto utilizado en una variedad de tecnologías, incluidas Linux y UNIX, sobre todo en Active Directory de Microsoft. Kerberos fue desarrollado por el MIT y proporciona SSO y servicios de autenticación de seguridad de un extremo a otro. La forma en que funciona es generando tokens de autenticación, llamados tickets, que se emiten de forma segura a los usuarios para que puedan acceder a los recursos de la red. Kerberos utiliza criptografía de clave simétrica y claves compartidas en lugar de transmitir contraseñas a través de la red.
1. Varios componentes importantes de Kerberos:
1) Principal: partes que utilizan Kerberos para identificación y autenticación, incluidos usuarios y servicios o aplicaciones.
2) Centro de distribución de claves (KDC): se utiliza para realizar el registro de nuevos usuarios y mantener una base de datos de claves secretas.
3) Servidor de autenticación (AS): gestiona la generación y distribución de Tickets de concesión (TGT) y realiza la verificación mediante el intercambio de datos cifrados para garantizar el acceso seguro al servidor.
4) Servicio de concesión de tickets (TGS): genera tickets de sesión que se proporcionan a los principales de seguridad cuando necesitan autenticarse en los recursos o entre sí.
Kerberos en acción
2. Puntos de riesgo de Kerberos
•KDC es un punto único de falla a menos que haya una configuración redundante con múltiples servidores.
•La autenticación y la distribución de tickets dependen en gran medida de la sincronización horaria del sistema en el ámbito de Kerberos y requieren soporte NTP; de lo contrario, se producirán problemas con las marcas de tiempo en los tickets.
5.6.4. RADIO y TACACS
5.6.4.1 RADIO
RADIUS es un protocolo de acceso que proporciona servicios de autenticación, autorización y contabilidad (AAA) para conexiones remotas a una red y se utilizó originalmente para admitir conexiones telefónicas a grandes ISP. Admite múltiples protocolos de autenticación como PAP, CHAP y MS-CHAP, pero solo cifra contraseñas. Dado que se utiliza el protocolo UDP, se deben consumir más recursos y se deben incorporar mecanismos de verificación de errores para compensar la naturaleza sin conexión de UDP.
5.6.4.2 TACACS
El protocolo propietario de Cisco puede alojar AAA (autenticación, autorización y auditoría) en diferentes servidores, transmitirlo a través del puerto TCP49 y cifrar toda la información de autenticación.
TACACS admite la autenticación multifactor.
5.6.4.3 Diámetro
Desarrollado para superar las limitaciones de RADIUS, Diámetro es un protocolo punto a punto utilizado por dispositivos inalámbricos y teléfonos inteligentes, pero no es compatible con versiones anteriores de RADIUS.
Preguntas de revisión
1 ¿Cuál de las siguientes características se describe como un modelo de control de acceso que se centra en los principales e identifica los objetos a los que cada principal puede acceder? A. Lista de control de acceso B. Lista de denegación implícita C.Tabla de habilidades D.Matriz de gestión de permisos
C Tabla de habilidad del sujeto Lista de control de acceso a objetos Matriz Sujeto-Objeto
2. La organización de Jim respalda ampliamente las implementaciones IDaaS de aplicaciones basadas en la nube. La empresa de Jim no tiene personal interno de gestión de identidad y no utiliza un servicio de identidad centralizado. En cambio, confían en Active Directory para proporcionar AAA Atender. ¿Cuál de las siguientes opciones debería recomendar Jim como la mejor manera de manejar las necesidades de identidad interna de la empresa? A. Integrar sistemas internos utilizando OAuth. B. Utilice un servicio de identidad local de terceros. C. Integrar sistemas internos utilizando SAML. D. Diseñar una solución interna para abordar las necesidades únicas de la organización.
B P508 La federación basada en la nube normalmente utiliza un tercero para compartir la identidad federada.
3. ¿Cuál de las siguientes no es una debilidad de Kerberos? A.KDC es un único punto de falla. B.KDC controlado por un atacante permitiría la suplantación de cualquier usuario. C. La información de autenticación no está cifrada. D. Vulnerable a adivinar contraseñas.
C
4. ¿A qué tipo de factor de autenticación pertenece el reconocimiento de patrones de voz? A. Algo que sabes B. Lo que posees C. ¿Qué eres? D. ¿Dónde estás?
C
5. Si la organización de Susan le exige que inicie sesión con un nombre de usuario, PIN, contraseña y escaneo de retina, ¿cuántos tipos diferentes de factores de autenticación utiliza? R. Una especie de B. Dos tipos C. Tres tipos D. Cuatro tipos
B
6.Charies quiere implementar un sistema de gestión de credenciales (CMS). Quiere mantener la clave lo más segura posible. ¿Cuál de las siguientes es la mejor opción de diseño para su implementación de CMS? R. Utilice AES-256 en lugar de 3DES. B. Utilice teclas largas. C. Utilice HSM (Módulo de seguridad de hardware). D. Cambie la frase de su contraseña con regularidad.
C No encontrado, recuerda
7.Bran es investigador en una universidad. Como parte de su investigación, utilizó sus credenciales universitarias para iniciar sesión en un grupo informático alojado en el Instituto de Tecnología. Una vez conectado, puede acceder al cluster y utilizar los recursos de acuerdo con su rol en el proyecto de investigación: y al mismo tiempo, los recursos y servicios de su institución. ¿Qué ha implementado la universidad de Bran para lograrlo? A. Apilamiento de dominios B. Gestión de identidad federada C. Anidamiento de dominios D. Inicio de sesión híbrido
B
8. Organice los siguientes pasos en el orden en que ocurren durante el proceso de autenticación Kerberos. 1. Generar tickets cliente/servidor 2. Generar TGT (boleto de otorgamiento de boleto) 3. Generar clave de cliente/TGS (servidor de concesión de tickets) 4. Acceso de los usuarios a los servicios 5. El usuario proporciona credenciales de autenticación. R. 5,3,2,1,4 B.5,4,2,1,3 C.3,5,2,1,4 D.5,3,1,.2,4
A La opción A debería ser 52314
Proceso de autenticación Kerberos El proceso de autenticación Kerberos es un protocolo interactivo que involucra al cliente, el servidor de autenticación (AS) y el servidor de concesión de tickets de servicio (TGS). Sus pasos principales son los siguientes: 1. El cliente envía una solicitud de autenticación al servidor de autenticación (AS), que normalmente contiene un nombre de usuario y una contraseña. 2. AS verifica las credenciales del cliente. Si las credenciales son válidas, AS genera un "Ticket de concesión de boletos" (TGT) cifrado. El TGT contiene la información de identidad del usuario y una clave de sesión, y el TGT se devuelve al cliente. 3. El cliente utiliza la contraseña para descifrar el TGT y obtener la clave de sesión. Esta clave de sesión se utilizará para comunicaciones posteriores. 4. Cuando el cliente necesita acceder a un servicio de red específico, utiliza la clave de sesión para generar un "Ticket de Servicio" y lo envía a TGS. 5. TGS verifica el TGT del cliente. Si el TGT es válido, TGS genera un ticket de servicio cifrado, cifra el ticket de servicio utilizando la clave del servicio y lo devuelve al cliente. 6. El cliente envía el ticket de servicio al servicio y el servicio se autentica utilizando la clave de sesión en el ticket de servicio. Si el ticket de servicio es válido, el servicio permite al cliente acceder a los servicios requeridos. Este proceso garantiza que se verifique la identidad del cliente y que el cliente tenga acceso al servicio solicitado. Al mismo tiempo, el protocolo Kerberos utiliza algoritmos de cifrado de claves simétricas y marcas de tiempo para proteger la seguridad de los datos durante la transmisión.
9. ¿Cuáles son los principales problemas que a menudo resultan del control de acceso descentralizado? R. Puede ocurrir una interrupción del acceso. B. Controles inconsistentes. C. El control es demasiado detallado. D. Los costos de capacitación son altos.
B
10. ¿Una devolución de llamada a un número de teléfono fijo es un ejemplo de qué tipo de factor de autenticación? A. Algo que sabes B donde estas C. Lo que posees D. ¿Qué eres?
B
11. Kathleen necesita configurar una confianza en Active Directory para permitir Dominio Kerberos K5 para autenticación. ¿Qué tipo de relación de confianza necesita crear? A. Un atajo de confianza B. Un fideicomiso forestal C. Un fideicomiso externo Confianza del reino D.A
D
12. ¿Cuál de los siguientes protocolos AAA es el más utilizado? A.TACACS B. TACACS C. XTACACS D.Super TACACS
B
14 Los usuarios de sistemas Windows no pueden utilizar la función Enviar mensaje. ¿Qué modelo de control de acceso describe mejor esta restricción? A. Mínimo privilegio B. necesito saber C. Interfaz limitada D. Segregación de funciones
C revisa el libro
15. ¿Qué tipo de control de acceso permite al propietario de un archivo otorgar acceso a otros usuarios al archivo utilizando una lista de control de acceso? A. Basado en roles B. Involuntario C. Basado en reglas D. Independiente
D
16. El trabajo de Alex requiere que revise la información médica protegida (PHI) para garantizar el tratamiento adecuado de los pacientes. Su acceso a los registros médicos de los pacientes no incluía el acceso a las direcciones de los pacientes ni a la información de facturación. ¿Cuál de los siguientes conceptos de control de acceso describe mejor este tipo de control? A. Segregación de funciones B. Interfaz restringida C.Control sensible al contexto D.necesito saber
D
Para las preguntas 17 a 19, consulte la siguiente tabla según su comprensión del proceso de inicio de sesión de Kerberos: 17 En el punto A del diagrama, el nombre de usuario y la contraseña del cliente se envían al KDC. ¿Qué tal nombre de usuario y contraseña? ¿Protegido? Cifrado A.3DES B. Cifrado TLS C. Cifrado SSL Cifrado D.AES 18. En el punto B del diagrama, después de verificar que el nombre de usuario es válido, el KDC envía dos importantes ¿elemento? A. TGT cifrado y clave pública B. Tickets de Acceso y Claves Públicas C Cifrado, TGT con marca de tiempo y clave simétrica cifrada con hash de la contraseña del usuario D TGT cifrado y con marca de tiempo y token de acceso 19. ¿Qué tareas debe realizar el cliente antes de utilizar TGT? R. Debe generar el hash del TGT y descifrar la clave simétrica. B. Debe aceptar el TGT y descifrar la clave simétrica. C Debe descifrar el TGT y la clave simétrica. D. Debe enviar una respuesta válida al KDC usando una clave simétrica y el TGT debe estar instalado.
D Microsoft Active Directory admite el cifrado Rivest Cipher 4 (RC4), el estándar de cifrado avanzado de 128 bits (AES-128), el estándar de cifrado avanzado de 256 bits (AES-256) y el estándar de cifrado de datos (DES). Estos algoritmos de cifrado se complementan con funciones hash criptográficas como Secure Hash Algorithm (SHA) y Message Digest Algorithm 5 (MDA5). Es mejor evitar el uso del cifrado DES, que se considera inseguro.
C
B
https://blog.csdn.net/weixin_46944519/article/details/126828074?ops_request_misc=%7B%22request%5Fid%22%3A%22171202843516800213053640%22%2C%22scm%22%3A%2220140713 30102334..%22 %7D&request_id =171202843516800213053640&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-126828074-null-null.142^v100^pc_search_result_base3&utm_term=Ker beros&spm=1018.2226.3001.4187 Explicación detallada
20 Sam planea implementar un sistema de autenticación biométrica en su organización y está considerando usar el escaneo de retina, ¿qué inquietudes pueden plantear otros en su organización sobre el escaneo de retina? R. Las exploraciones de retina pueden revelar información sobre afecciones médicas. B. El escaneo de retina es doloroso porque requiere un chorro de aire en el ojo del usuario. C. Los escáneres de retina son el tipo de dispositivo biométrico más caro. D. Los escáneres de retina tienen una alta tasa de falsas alarmas, lo que puede causar problemas de soporte.
A
21. ¿En qué tipo de modelo se basa el control de acceso obligatorio? A. Control de acceso discrecional B. Control de acceso basado en grupos C. Control de acceso basado en red D. Control de acceso basado en reglas
C
22. Greg quiere controlar el acceso a los iPad utilizados como terminales de punto de venta en su organización. ¿Cuál de los siguientes métodos debería utilizar para implementar el control de acceso lógico de dispositivos en un entorno compartido? A. Utilizar un PIN compartido para todos los terminales de punto de venta para facilitar su uso. B. Permitir que cada usuario inicie sesión en la nube usando OAuth. C. Cada usuario recibe un código PIN único para el iPad que está utilizando. D. Utilice Active Directory y una cuenta de usuario para iniciar sesión en iad, utilizando el ID de usuario y la contraseña de AD.
D
23. ¿Cuál es la mejor manera de proporcionar trazabilidad del uso de la identidad? A. Registro autorización B C. Firma digital D.Certificación tipo 1
A No encontrado, recuerda
24 Jim ha ocupado puestos de recursos humanos, nómina y servicio al cliente en su empresa durante los últimos años. ¿Qué tipo de proceso debería implementar su empresa para garantizar que tiene la autoridad adecuada? A. Reconfigurar B. Revisión de cuenta C. Ampliación de privilegios D.Cancelación de cuenta
B
25.¿A qué tipo de modelo de control de acceso pertenece Biba? A.MAC B.DAC C. Función BAC D.ABAC
A P525 El sistema de archivos NTFS de Windows utiliza DAC El sistema operativo Windows utiliza RBAC Reglas de firewall basadas Redes definidas por software ABAC P530 MAC se basa en una cuadrícula y se basa en etiquetas de clasificación, lo que significa que Biba y Bell-~ pertenecen a MAC
26. ¿Cuál de los siguientes es un protocolo cliente/servidor diseñado para permitir que un servidor de acceso a la red autentique a usuarios remotos enviando mensajes de solicitud de acceso a un servidor central? A. Kerberos B. PAE C. RADIO D.OAuth
C
27.Henry está trabajando con el equipo de desarrollo de aplicaciones web para diseñar el proceso de autenticación y autorización para la nueva aplicación de la empresa. El equipo quiere que las identificaciones de sesión sean lo más seguras posible. ¿Cuál de las siguientes no es una mejor práctica que Henry debería recomendar? R. Los tokens de ID de sesión deben ser predecibles. B. El ID de la sesión debe tener al menos 64 bits de entropía. La duración de la sesión C debe ser de al menos 128 bits. D. El ID de sesión no debería tener significado.
A
28.Angela utiliza un rastreador para monitorear el tráfico a un servidor RADIUS configurado con la configuración predeterminada. ¿Qué protocolo debería monitorear y qué tráfico podrá leer? A.UDP, incapaz de leer ningún tráfico. Todo el tráfico RADIUS está cifrado. B.TCP Se puede leer todo el tráfico excepto la contraseña, que está cifrada. C.UDP Se puede leer todo el tráfico excepto la contraseña, que está cifrada. D.TCP, incapaz de leer ningún tráfico. Todo el tráfico RADIUS está cifrado.
C
29. ¿Qué tipo de control de acceso describe mejor la funcionalidad de evaluación de postura de NAC? A. Control de acceso obligatorio B.Control de acceso basado en riesgos C. Control de acceso discrecional D. Control de acceso basado en roles
B P532 Recuerda
30. ¿Cuál es un ejemplo de cuando una aplicación o sistema permite que un usuario que ha iniciado sesión realice una acción específica? Un rol B. Gestión del grupo C. Iniciar sesión D.Autorización
D
31. Alex lleva más de diez años en la empresa y ha ocupado diversos puestos dentro de la empresa. Una auditoría reveló que tenía acceso a carpetas y aplicaciones compartidas debido a su puesto anterior. ¿Qué pasó con la empresa de Alex? ¿pregunta? A. Sobreaprovisionamiento B. Acceso no autorizado C. Ampliación de privilegios Revisión de cuenta D
C
32. Geoff quiere evitar ataques de escalada de privilegios en su organización. ¿Cuál de las siguientes prácticas tiene más probabilidades de evitar la escalada lateral de privilegios? A. Autenticación multifactor B. Restringir permisos a grupos y cuentas. C. Deshabilitar puertos y servicios no utilizados D. Desinfectar la entrada del usuario en las aplicaciones
A
33.El entorno Microsoft Exchange de Jim incluye local Servidores en centros de datos y Office 365 para empleados que no se encuentran en una de estas oficinas desplegar. Las identidades se crean y utilizan en ambos entornos y funcionan en ambos. ¿Qué sistema de articulación de tipo cabezal está utilizando Jim? A. Principales sistemas de nube B. Sistema local primario C.Sistema híbrido D.Sistema multiinquilino
C
34. ¿La siguiente tabla muestra qué tipo de esquema de control de acceso? A.RBAC B CAD CMAC DTBAC
C Según la cuadrícula, el sujeto y el objeto tienen atributos, por lo que es MAC
35. La empresa de Michelle está dividiendo su departamento de marketing y comunicaciones en dos equipos separados, creando un nuevo departamento. Quiere crear roles que proporcionen a cada equipo acceso a los recursos. ¿Qué debe hacer para mantener la seguridad y los permisos adecuados? R Coloque al equipo de marketing en un grupo existente, ya que tendrán requisitos de acceso similares. B Mantenga el equipo de marketing en el grupo existente y cree un nuevo grupo de comunicaciones basado en sus necesidades específicas. C Mantener el equipo de comunicaciones en el grupo actual y crear un nuevo grupo de marketing en función de sus necesidades específicas. D. Cree dos grupos nuevos, evalúe los permisos que necesitan para desempeñar sus funciones y agregue permisos adicionales si es necesario.
D
36. ¿Qué proceso ocurre cuando un sujeto declara una identidad? A. Iniciar sesión B. Identificar C.Autorización D. Presentación de fichas
B
37. ¿Los perros, los guardias y las cercas son ejemplos comunes de qué tipo de control? A. Tipo de detección B. Tipo de recuperación C. Tipo administrativo D.Tipo físico
D
38.La organización de Susan está actualizando su política de contraseñas y quiere utilizar las contraseñas más seguras posibles. ¿Qué requisito de contraseña tiene el mayor impacto en la prevención de ataques de fuerza bruta? R. Cambiar el tiempo máximo de uso de 1 año a 180 días. B. Aumente la longitud mínima de la contraseña de 8 a 16 caracteres. C. Aumentar la complejidad de la contraseña y requerir al menos tres categorías de caracteres (como letras mayúsculas, minúsculas, números y símbolos). D. Mantenga un historial de contraseñas de al menos cuatro contraseñas para evitar su reutilización.
B El aumento de longitud tiene el mayor impacto
39. Alaina realiza revisiones de cuentas de servicio programadas periódicamente. ¿Cuál de los siguientes eventos le preocupa más? A. Inicio de sesión interactivo para cuentas de servicio B. Cambios de contraseña para cuentas de servicio C. Restricciones a los permisos de las cuentas de servicio D. Operaciones locales utilizando cuentas de servicio
A P508 Palabras originales del libro: configurar la cuenta como una cuenta no interactiva
40. En una organización que utiliza biometría, ¿cuándo se podría optar por permitir una FRR más alta en lugar de una FAR más alta? A. Cuando la seguridad es más importante que la disponibilidad B. Cuando los falsos rechazos no son motivo de preocupación debido a problemas de calidad de los datos C. Cuando se desconoce el CER del sistema D. Cuando el CER del sistema es muy alto
A
41 Tras informes recientes de acceso no autorizado a estaciones de trabajo fuera del horario comercial, se le pidió a Derek que encontrara una manera de garantizar que el personal de mantenimiento no pudiera iniciar sesión en las estaciones de trabajo de la oficina comercial. El personal de mantenimiento tiene los sistemas de la organización en sus salas de descanso y oficinas porque aún necesita acceder a esos sistemas. ¿Qué debería hacer Derek para satisfacer esta necesidad? A requiere autenticación multifactor y solo permite que los empleados de la oficina tengan tokens multifactor. B. Utilice control de acceso basado en reglas para prohibir el inicio de sesión durante horas no laborables en el área de trabajo. C. Utilizando el control de acceso basado en roles, configure un grupo que contenga todos los mantenedores y Otorga el derecho a iniciar sesión únicamente en la estación de trabajo especificada. D. Utilice geocercas para permitir el inicio de sesión únicamente en áreas de mantenimiento.
C
42. Nick quiere implementar la gestión de sesiones para su aplicación web. ¿Cuáles de las siguientes son técnicas o métodos comunes de gestión de sesiones de aplicaciones web? (Seleccione todas las que correspondan.) A. Seguimiento de propiedad intelectual B. galletas C.Reescritura de URL Token D.TLS
ANTES DE CRISTO. recordar
Para las preguntas 43 a 45, utilice sus conocimientos sobre integración de SAML y diseño de arquitectura de seguridad y consulte el siguiente escenario e ilustración: Alex es responsable de la integración de SAML con un socio externo clave que proporciona diversos servicios de productividad empresarial a su organización. 43.Alex está muy preocupado por las escuchas ilegales en el tráfico SAML y quiere asegurarse de que las afirmaciones falsificadas no tengan éxito. ¿Qué debería hacer para prevenir estos posibles ataques? A. Proporcionar autenticación de seguridad utilizando el modelo de seguridad SAML. B. Implementar TLS utilizando conjuntos de cifrado sólidos para protegerse contra ambos ataques. C. Implementar TLS utilizando conjuntos de cifrado sólidos y firmas digitales. D. Implementar TLS y hash de mensajes utilizando conjuntos de cifrado sólidos. 44. Si la organización de Alex se compone principalmente de usuarios externos que viajan, ¿qué riesgos de disponibilidad genera la integración de aplicaciones críticas para el negocio en la autenticación en el sitio y cómo debería abordarlos? R. Es posible que no se confíe en las integraciones de terceros; utilice SSL y firmas digitales. B. Si la organización local se desconecta, los usuarios que viajan no podrán acceder a aplicaciones de terceros; implementar un sistema de autenticación local en la nube híbrida. C. Es posible que los usuarios locales no sean redirigidos correctamente a servicios de terceros; Es posible que los navegadores D no redireccionen correctamente; utilice un archivo de hosts para garantizar que se resuelvan los problemas de redireccionamiento. 45. ¿Qué solución puede ayudar mejor a resolver la redirección de SSO controlada por terceros que se muestra en el paso 2? ¿A la pregunta? A. Actividades de sensibilización sobre terceros de confianza B. TLS C. Manejar redirecciones en el sitio local D. Implementar IPS para detectar ataques de redireccionamiento SSO
C
B
ARecuerda
46. Se le pidió a Susan que recomendara si su organización debería utilizar una solución MAC o una solución DAC. Si implementar el control de acceso requiere flexibilidad y escalabilidad, ¿qué opción debería recomendar y por qué? R. MAC, debido a que proporciona mayor escalabilidad y flexibilidad, simplemente agregue más según sea necesario solo etiqueta B.DAC proporciona escalabilidad al permitir que los administradores individuales seleccionen los objetos que controlan. y flexibilidad C.MAC, dado que la partición es excelente para brindar flexibilidad, agregar particiones lo hará bien escalable sexo D.DAC, porque el proceso central de toma de decisiones puede responder rápidamente y reduciendo el número de decisiones requeridas y Trasladar estas decisiones a una autoridad central proporciona escalabilidad y flexibilidad
B
47. ¿Cuál de las siguientes herramientas no se utiliza normalmente para verificar que los procesos de aprovisionamiento estén configurados de manera que garanticen las políticas de seguridad de una organización? A. Revisión de registros B. Revisión manual de permisos C. Detección basada en firmas D. Revisar los registros de seguimiento de auditoría
C recordar
48.Jessica necesita enviar información a una organización externa sobre los servicios que brinda. ¿Qué lenguaje de marcado basado en estándares debería elegir para crear la interfaz? A.SAML B. JABÓN C.SPML D.XACML
C recordar
49. Durante una prueba de penetración, Chris recuperó un archivo que contenía contraseñas hash para los sistemas a los que intentaba acceder. ¿Qué tipo de ataque tiene más probabilidades de tener éxito contra contraseñas hash? A. Ataque violento B. Ataque mediante valor hash C Ataque a la mesa del arco iris D Un ataque de recuperación de sal.
C
50 ¿La integración de la identidad de Google con una variedad de organizaciones y aplicaciones en todos los dominios es un ejemplo de cuál de los siguientes? A.PKI B. Federación C. Inicio de sesión único D. suministro
B recordar
51.Amanda empieza un nuevo trabajo y descubre que tiene acceso a varios sistemas que no necesita en el trabajo. ¿Qué problema encontró? A. Fuga de permisos B. Conflicto de limitación C. Mínimo privilegio D. Demasiados permisos
D
52. Cuando Chris autentica la identidad de una persona y agrega un identificador único, como una identificación de usuario, al sistema de identidad. ¿Qué proceso pasó? A. Verificación de identidad B. Registrarse C. Gestión de directorios D. Gestión de sesiones
B
53.Selah quiere proporcionar trazabilidad del comportamiento para la aplicación comercial principal de su organización. ¿Cuáles son las medidas de control más utilizadas en esta situación? (Seleccione todas las que correspondan.) A. Habilite el registro de auditoría. B. Proporcionar a cada empleado una cuenta única y habilitar la autenticación multifactor. C. Habilitar requisitos de inicio de sesión basados en tiempo y ubicación. D. Proporcionar a cada empleado una cuenta única y solicitar una contraseña que él mismo seleccione.
AB
54. Chariles quiere proporcionar servicios de autorización como parte de su aplicación web. Si quiere una fácil integración con otros proveedores de identidades web, ¿qué estándar debería utilizar? A.OpenID B. TACACS C. RADIO D.OAuth
D
55 La empresa de Cameron utiliza un sistema que permite a los usuarios solicitar acceso privilegiado al sistema cuando sea necesario. . Camneron solicitó acceso y, debido a su función, la solicitud fue aprobada previamente. Luego puede acceder al sistema para realizar tareas. Al finalizar, se eliminan los permisos. ¿Qué tipo de sistema está usando? A. Confianza cero B. Gestión de identidad federada C. Inicio de sesión único D. Acceso oportuno
D
56. Ene es responsable de crear un sitio web bancario. Necesita verificar la identidad del usuario que se registró en el sitio. ¿Qué debe hacer para verificar la identidad del usuario? R. Pida a los usuarios que creen preguntas únicas que solo ellos conozcan. B. Los nuevos usuarios deberán presentar personalmente en el banco su permiso de conducir o pasaporte. C. Utilizar información que tengan tanto el banco como el usuario, como preguntas extraídas de su informe crediticio. D. Llame al número de teléfono registrado del usuario para verificar quién dice ser.
C
57.La organización de Susan es parte de una federación que permite a los usuarios de múltiples organizaciones acceder a recursos y servicios en otros sitios federados. Cuando Susn quiere utilizar servicios en sitios asociados, ¿cuál utilizar? ¿Proveedor de identidad? A. Proveedor de identidad de la organización de Susan B. Proveedor de identidad del proveedor de servicios C. Su proveedor de identidad y el proveedor de identidad del proveedor de servicios D. El proveedor de servicios crea una nueva identidad.
A
58. Un nuevo cliente de un banco que utiliza escáneres de huellas digitales para autenticar a los usuarios se sorprendió al descubrir que cuando escaneó su huella digital, inició sesión en la cuenta de otro cliente. ¿Qué tipo de error biométrico ocurrió? A. Error de registro B. Un error de tipo 1 C.A Error tipo 2 D. Tiempo y método de uso incorrectos
C
· Tasa de falsos rechazos (FRR): Errores tipo 1. Los datos biométricos válidos no se pueden verificar y se utilizan en entornos con altos requisitos de seguridad.
Falso negativo, rechazando al usuario correcto
•Tasa de Falsa Aceptación (FAR): Errores tipo 2. Los datos biométricos no válidos se identifican erróneamente como identidades válidas y se utilizan en entornos con bajos requisitos de seguridad.
Falso positivo, se permite usuario equivocado
59. ¿Qué tipo de control de acceso se utiliza normalmente con los firewalls? A. Control de acceso discrecional B. Control de acceso basado en reglas C. Control de acceso basado en tareas D. Control de acceso obligatorio
B
60. ¿Qué actividad importante de gestión de identidad y acceso realiza cuando ingresa su ID de usuario y contraseña? A.Autorización B. Verificar C. Certificación D. Iniciar sesión
C
61.Katleen trabaja en una instalación de colocación de centros de datos que proporciona espacio físico en el centro de datos a personas y organizaciones. Hasta hace poco, cada usuario recibía una tarjeta de acceso con banda magnética para acceder a la parte de la instalación donde estaba ubicado su servidor, y también recibía una llave para acceder a la jaula o bastidor en el que estaba ubicado su servidor. Algunos servidores se han visto comprometidos en los últimos dos meses, pero los registros de pases solo muestran identificaciones válidas. ¿Cuál es la mejor opción de Keatnleen para garantizar que los usuarios del pase sean quienes se supone que deben ser? A Agregue un lector de tarjetas que requiera que los usuarios del pase ingresen un PIN. B. Agregar un sistema de cámaras a las instalaciones para observar quién accede al servidor. C. Agregar factores biométricos. D. Reemplazar las tarjetas de acceso con banda magnética por tarjetas inteligentes.
C
62 Theresa quiere permitir que sus empleados almacenen y administren de forma segura contraseñas para sistemas, incluidas cuentas de servicio y otras credenciales administrativas que rara vez se utilizan. ¿Qué tipo de herramienta debería implementar para lograrlo? A. Inicio de sesión único B. Sistema de identidad federado C. Administrador de contraseñas D. Sistema de autenticación multifactor
C recordar
63.Olivia quiere limitar los comandos que un usuario puede ejecutar mediante sudo para reducir la posibilidad de ataques de escalada de privilegios. ¿Qué archivo de Linux debería modificar para lograr esto? Un archivo de configuración.bash .bin Archivo B.sudoers C. archivo de configuración permitido de bash Archivo D.sudont
B
64. ¿Qué objetos y agentes en el modelo MAC tienen etiquetas? R. Los objetos y temas clasificados como Confidential, Confidential o Top Secret tienen etiquetas. B. Todos los objetos tienen una etiqueta y todos los sujetos tienen un compartimento. C. Todos los objetos y sujetos tienen una etiqueta. D. Todos los sujetos tienen una etiqueta y todos los objetos tienen un compartimento.
C
Para las preguntas 65 a 67, consulte los siguientes escenarios y diagramas: Chris es el arquitecto de identidad de un sitio web de comercio electrónico en crecimiento. Él y su equipo pretenden aprovechar las identidades sociales permitiendo a los usuarios utilizar sus cuentas de Google existentes como su cuenta principal en sitios de comercio electrónico. Esto significa que cuando un nuevo usuario se conecta inicialmente a la Plataforma de comercio electrónico, puede optar por usar su cuenta de Google (usando OAuth 2.0) o crear una nueva cuenta en la Plataforma usando su dirección de correo electrónico y una contraseña de su elección. 65. Cuando una aplicación de comercio electrónico crea una cuenta para un usuario de Google, se debe guardar la contraseña del usuario ¿Dónde se almacena? A. La contraseña se almacena en la base de datos de la aplicación de comercio electrónico. B. La contraseña se almacena en la memoria del servidor de aplicaciones de comercio electrónico. C. Las contraseñas se almacenan en el sistema de administración de cuentas de Google. D. La contraseña no se almacena; en cambio, se almacena un valor hash salado en Google. en el sistema de gestión de cuentas. 66. ¿Cuál de los siguientes es responsable de la autenticación de usuarios de Google? A. Aplicaciones de comercio electrónico. B. Existe tanto una aplicación de comercio electrónico como un servidor de Google. C. Servidores de Google. D. El cuadro no proporciona suficiente información para determinar esto. 67. ¿Qué tipo de ataque se pretende prevenir al crear e intercambiar tokens estatales? A. XSS B. CSRF C. Inyección SQL D.XACML
D
C
B Falsificación de solicitudes entre sitios (inglés: falsificación de solicitudes entre sitios), también conocida como ataque con un solo clic o sesión de conducción, a menudo abreviada como CSRF o método de operación de ataque. En comparación con los scripts entre sitios (XSS), que aprovechan la confianza del usuario en el sitio web especificado, CSRF aprovecha la confianza del sitio web en el navegador web del usuario. defensa: Verifique el campo Referidor Hay un campo Referer en el encabezado HTTP, que se utiliza para indicar la dirección de donde proviene la solicitud. Al manejar solicitudes de datos confidenciales, en términos generales, el campo Referer debe estar bajo el mismo nombre de dominio que la dirección solicitada. Tomando como ejemplo la operación bancaria anterior, la dirección del campo Referer generalmente debe ser la dirección web donde se encuentra el botón de transferencia, que también debe ubicarse en www.examplebank.com. Si se trata de una solicitud de un ataque CSRF, el campo Referer contendrá una dirección que contiene una URL maliciosa y no estará ubicada en www.examplebank.com. En este momento, el servidor podrá identificar el acceso malicioso. Este método es simple y fácil de implementar, con poca carga de trabajo. Solo necesita agregar un paso de verificación en puntos de acceso clave. Pero este método también tiene sus limitaciones, porque depende completamente del navegador para enviar el campo Referer correcto. Aunque el protocolo http tiene regulaciones claras sobre el contenido de este campo, no puede garantizar la implementación específica del navegador visitante, ni puede garantizar que el navegador no tendrá vulnerabilidades de seguridad que afecten este campo. Y también existe la posibilidad de que los atacantes ataquen algunos navegadores y alteren sus campos de referencia. Agregar token de verificación Dado que la esencia de CSRF es que el atacante engaña al usuario para que acceda a la dirección establecida por él mismo, si el navegador del usuario debe proporcionar datos que no se almacenan en la cookie y el atacante no puede falsificarlos como verificación al acceder a datos confidenciales, entonces el ataque El atacante ya no puede ejecutar ataques CSRF. Estos datos suelen ser un elemento de datos en el formulario. El servidor lo genera y lo agrega al formulario, y su contenido es un número pseudoaleatorio. Cuando el cliente envía una solicitud a través del formulario, este número pseudoaleatorio también se envía para su verificación. Durante el acceso normal, el navegador del cliente puede obtener y devolver correctamente este número pseudoaleatorio. Sin embargo, en un ataque engañoso a través de CSRF, el atacante no tiene forma de conocer el valor de este número pseudoaleatorio de antemano y el servidor lo hará. el valor del token de verificación está vacío o es incorrecto, la solicitud sospechosa será rechazada.
68. ¿Cómo se llama tu mascota? ¿Con qué tipo de autenticación ocurre este problema? A. Certificación basada en el conocimiento B. Autenticación dinámica basada en conocimiento C. Autenticación fuera de banda D. El tercer factor de autenticación
A
69. Madhuri crea una tabla de privilegios, objetos y principales asignados para gestionar el control de acceso a los sistemas de los que es responsable. Cada vez que un principal intenta acceder a un objeto, el sistema verifica la tabla para asegurarse de que el principal tenga los permisos adecuados para el objeto. ¿Qué tipo de sistema de control de acceso utiliza Madhuri? A. Tabla de capacidad B. Lista de control de acceso C. Matriz de control de acceso D.Sistema de gestión de derechos de sujeto/objeto
C
70. Al revisar los tickets de soporte, la organización de Ben descubrió que los cambios de contraseña representaban más de una cuarta parte de sus casos de ayuda. ¿Cuál de las siguientes opciones tiene más probabilidades de reducir significativamente este número? A. Autenticación de dos factores B. Autenticación biométrica C. Restablecimiento de contraseña de autoservicio D. Frase de contraseña
C recordar
71. La gran organización de Brian ha estado utilizando RADIUS para brindar servicios AAA a dispositivos de red durante muchos años. y recientemente me di cuenta de problemas de seguridad con la información transmitida durante el proceso de autenticación. ¿Qué debería hacer Brian por ¿Cifrado de implementación RADIUS? R. Utilice las capacidades de cifrado integradas en RADIUS. B. Implementar RADIUS sobre su UDP nativo usando TLS para brindar protección. C. Implementar RADIUS sobre TCP usando TLS para brindar protección. D. Utilice cifrados AES256 precompartidos entre dispositivos. .
C El propio RADIUS utiliza el protocolo UDP y, después de utilizar TLS, es el protocolo TCP.
72 Jim permite que las aplicaciones basadas en la nube accedan a información de otros sitios web en su nombre. ¿Cuál de las siguientes herramientas puede lograr esto? A. Kerberos B.OAuth C.OpeniD D. LDAP
B Se requiere un protocolo de autorización, por lo que es OAuth
73. La organización de Ben ha experimentado acceso no autorizado a aplicaciones y estaciones de trabajo durante las horas del almuerzo cuando los empleados no están en sus escritorios. ¿Cuál es la mejor solución de gestión de sesiones que Ben recomendaría para ayudar a prevenir este tipo de acceso? A Utilice ID de sesión para todos los accesos y verifique las direcciones IP del sistema para todas las estaciones de trabajo. B. Establezca un tiempo de espera de sesión para la aplicación y use un protector de pantalla protegido con contraseña en la estación de trabajo y establezca un tiempo de espera de inactividad. C Utilice ID de sesión para todos los programas y protectores de pantalla protegidos con contraseña en las estaciones de trabajo. D. Establezca el tiempo de espera de la sesión para la aplicación y verifique las direcciones IP del sistema de todas las estaciones de trabajo.
B
74 El siguiente diagrama muestra qué tipo de escenario de autenticación A. Unión Mixta B. Unión in situ C. Federación de la nube D. Federación Kerberos
A P508 La federación basada en la nube normalmente utiliza un tercero para compartir la identidad federada. La federación híbrida es una combinación de federación en la nube y federación local.
75. Chris quiere identificar personas mientras controla el acceso a las instalaciones. También quiere asegurarse de que se permita la entrada a estas personas y no quiere que haya costos continuos significativos. ¿Qué soluciones de las siguientes opciones cumplirán todos estos requisitos? (Seleccione todas las que correspondan.) A. Personal de seguridad e identificación con fotografía. B. Tarjeta RFID y lector con teclado PIN C. Tarjeta de identificación con banda magnética y lector de tarjetas con teclado PIN D. Personal de seguridad y lectores de banda magnética
ANTES DE CRISTO.
76. ¿En qué tipo de segundo factor de autenticación se encuentra un dispositivo como una llave Yubikey o Titan Security? Una ficha B. Identificadores biométricos C. Tarjeta inteligente D. PIV
A recordar
77. ¿Cuál es la tecnología de autenticación que se puede combinar con OAuth para autenticar y obtener información del perfil del usuario utilizando RESTful API? A.SAML B. Shibboleth C. Conexión OpenID D. Higgins
C
78. Jim quiere implementar un esquema de control de acceso para garantizar que los usuarios no puedan delegar el acceso. También quería imponer el control de acceso a nivel del sistema operativo. ¿Qué mecanismo de control de acceso cumple mejor con estos requisitos? A. Control de acceso basado en roles B. Control de acceso discrecional C. Control de acceso obligatorio D. Control de acceso basado en atributos
C
79. El administrador de seguridad de la empresa de Susan ha configurado la estación de trabajo que utiliza para permitirle iniciar sesión únicamente durante el horario laboral. ¿Qué tipo de control de acceso describe mejor esta restricción? A. Interfaz restringida B. Control sensible al contexto C. Controles relacionados con el contenido D. Mínimo privilegio
B
80.Ben utiliza un token basado en software que cambia el código cada minuto. ¿Qué tipo de token está usando? A. Asíncrono B. Tarjeta inteligente C. Sincronización D.Estática
C
81. ¿Un firewall es un ejemplo de qué tipo de mecanismo de control de acceso? A. Control de acceso obligatorio B. Control de acceso basado en atributos C. Control de acceso discrecional D. Control de acceso basado en reglas
D
82.Michelle trabaja para una empresa de servicios financieros y quiere registrar clientes para su aplicación web. Si quiere verificar rápida y automáticamente que la persona es quien dice ser en el inicio de sesión inicial sin tener que tener una relación previa con ella, ¿qué tipo de mecanismo de autenticación puede usar? R. Solicite su número de seguro social. B. Utilice autenticación basada en conocimientos. C. Realizar autenticación manual. D. Utilice factores biométricos.
B recordar
83 La empresa de Megan quiere utilizar Cuentas de Google para adoptar rápidamente su aplicación web. ¿Qué tecnologías comunes de federación de nube necesita implementar Megan? (seleccione todas las que correspondan) A. Kerberos B.OpeniD C.OAuth D. RADIO
ANTES DE CRISTO.
84. ¿La duración y el tamaño del ID de sesión son fundamentales para prevenir qué tipo de ataque? A. Denegación de servicio B. Robo de cookies C. Adivinanzas en la conversación D. Ataque de intermediario
C
85. El sistema de control de acceso de la organización de Naomi verifica que su computadora esté completamente conectada, tenga un análisis antimalware exitoso y tenga el firewall encendido, entre otras verificaciones de seguridad, antes de permitirle conectarse a la red. Si hay un problema potencial, se le impedirá conectarse y deberá comunicarse con el soporte. ¿Qué tipo de esquema de control de acceso describe mejor este tipo de proceso? A.MAC B. Control de acceso basado en reglas C. Control de acceso basado en roles D. Control de acceso basado en riesgos
D
86. Isabelle quiere evitar ataques de escalada de privilegios en las cuentas de servicio de su organización. ¿Cuál de las siguientes prácticas de seguridad ¿Lo mejor para esta situación? A. Eliminar permisos innecesarios. B Deshabilite el inicio de sesión interactivo para la cuenta de servicio. C. Limitar el tiempo de inicio de sesión de la cuenta. D. Utilice nombres de cuentas de servicio aleatorios o sin significado.
A
87. ¿Cuáles son los peligros de permitir que las partes que confían en OpenID controlen las conexiones a los proveedores de OpenID? R. Puede resultar en una selección incorrecta del proveedor de OpenID. B. Posibles ataques de phishing mediante el envío de datos a proveedores falsos de OpenID. C. Las partes que confían pueden robar los nombres de usuario y contraseñas de los clientes. D. La parte que confía no podrá enviar una declaración firmada.
B
88. Jim está implementando una solución de identidad en la nube para su organización. ¿Qué tipo de tecnología está usando? A. Identidad como servicio B. Condición de empleado como servicio C. RADIUS basado en la nube D.OAuth
A IDaaS
89.Kisten quiere controlar el acceso a una aplicación en la organización en función del puesto del empleado, los permisos de aplicación requeridos para cada grupo de puesto, hora y ubicación. ¿Qué tipo de esquema de control debería elegir? Un control de acceso de línea base de atributos (ABAC) B. Control de acceso discrecional (DAC) C. Control de acceso obligatorio (MAC) D. Control de acceso básico de atributos de función (función BAC)
A
90. Cuando Alex establece los permisos que se muestran en el siguiente diagrama como usuario en un servidor Linux, ¿qué tipo de modelo de control de acceso está utilizando? $ chmod 7313 al $1s-la total 12 drwxr-xr-x 3 raíz drwxr-xr-x 3 raíz A. Control de acceso basado en roles B. Control de acceso basado en reglas C. Control de acceso obligatorio (MAC) D. Control de acceso discrecional (DAC)
D
91. Joanna lidera el equipo de gestión de identidad de su organización y quiere asegurarse de que los roles se actualicen a medida que los empleados pasan a nuevos puestos. ¿En qué problema de los empleados debería centrarse para evitar problemas con la definición de roles? A. Registrarse B. Fuga de permisos C. Abolición D. Responsabilidades de la cuenta
B
92¿Qué tipo de mecanismo de autorización se muestra en la siguiente figura? A. Control de acceso basado en roles (RBAC) B. Control de acceso de referencia de atributos (ABAC) C. Control de acceso obligatorio (MAC) D. Control de acceso discrecional (DAC)
A
93. Susan está solucionando un problema de autenticación Kerberos, que incluye un TGT (boleto que otorga boleto) que no se acepta como boleto válido "y la imposibilidad de obtener un nuevo boleto. Si el sistema que está solucionando se ha configurado correctamente para la autenticación Kerberos , su nombre de usuario y contraseña son correctos. Su conexión de red está bien, ¿cuál podría ser el problema? R. El servidor Kerberos está fuera de línea. B. Hay una discrepancia en el protocolo. C. El TGT del cliente está marcado como comprometido y no autorizado. D Los relojes del servidor Kerberos y del cliente local no están sincronizados.
D
94. Brian quiere explicar los beneficios de la federación local a la dirección de la organización. ¿Cuál de las siguientes opciones no es un beneficio común de los sistemas de identidad federados? A. Simplifique la gestión de cuentas B. Inicio de sesión único C. Prevenir ataques de fuerza bruta D. Aumentar la productividad
C
95. El banco de Aaron quiere permitir a los clientes utilizar una nueva aplicación complementaria proporcionada por un socio externo con el que trabaja. Dado que no todos los clientes quieren o necesitan una cuenta, Aaron recomienda que los bancos utilicen un flujo de trabajo basado en SAML que crea una cuenta cuando un usuario descarga la aplicación e intenta iniciar sesión. ¿Qué tipo de sistema de configuración recomienda? A. Configuración justo a tiempo (JIT) B.OpeniD C.OAuth D. Kerberos
A
96. ¿Qué protocolo de autenticación utiliza Windows de forma predeterminada para los sistemas Active Directory? A. RADIO B. Kerberos C.OAuth D. TACACS
B Kerberos: Kerberos es el servicio de autenticación predeterminado para Active Directory
97.Valerie necesita controlar el acceso a las aplicaciones implementadas en dispositivos móviles en un entorno BYOD. ¿Qué tipo de solución le permitiría mejor ejercer control sobre las aplicaciones y al mismo tiempo garantizar que no dejen datos residuales en los dispositivos utilizados por los usuarios finales? R. Implemente la aplicación en dispositivos BYOD y solicite un PIN único para cada dispositivo. B ha implementado las aplicaciones en el sistema de escritorio y requiere que los usuarios accedan a ellas mediante autenticación empresarial mediante una interfaz remota. C. Utilice un contenedor de aplicaciones para implementar el asiento de la aplicación en dispositivos BY0D y requiera un PIN único para cada dispositivo. D. El uso de un entorno de aplicación alojado virtual requiere autenticación mediante credenciales corporativas.
D
98. Relacione los siguientes mecanismos de autorización con sus descripciones: 1. Control de acceso básico de atributos basado en roles (Role-BAC) 2. Control de acceso de línea base de atributos basado en reglas (Regla BAC) 3. Control de acceso discrecional (DAC) 4. Control de acceso de línea base de atributos (ABAC) 5. Control de acceso obligatorio (MAC) A. Un modelo de control de acceso aplicado por el sistema operativo. B. Otorgar permisos o derechos según los requisitos coincidentes por dirección IP, hora u otros detalles específicos. C. Este modelo, a veces denominado control de acceso basado en políticas, utiliza información sobre el principal para asignar permisos. D. Un modelo que otorga a los directores los permisos apropiados para asignar o pasar esos permisos a otros directores. E. Se utiliza para asignar permisos según el trabajo o función.
1E2B3D4C5A
99. Relacionar las tecnologías de autenticación digital con las categorías apropiadas. Cada tecnología debe corresponderse con una categoría. Cada categoría se puede utilizar una vez, varias veces o ninguna. Tecnología de autenticación 1. Contraseña 2.tarjeta de identificación 3. Exploración de retina 4. Ficha móvil 5. Análisis de huellas dactilares categoría: A. algo de propiedad B. Algo que saber C. es algo
1B2A3C4A5C
100. Relacione los siguientes controles de identidad y acceso con los tipos de activos que mejor se adaptan a proteger. Cada opción sólo se puede seleccionar una vez. 1. Activos de información 2. Sistema 3. Dispositivos móviles 4. Instalaciones 5. Solicitudes de socios A. Control de acceso discrecional B. Lector de tarjetas de control de acceso C. Gestión de identidad federada D. Autenticación biométrica E. Cuentas de usuario con autenticación multifactor
1A2E3D4B5C